Attaques informatiques contre des hôpitaux

Depuis quelques mois, plusieurs hôpitaux américains, au moins un hôpital canadien et des hôpitaux français ont été victimes d’attaques informatiques de type ransomware (rançongiciel en français, mais je ne trouve pas que c’est un très beau mot…) Au moins un hôpital a été obligé de payer la rançon exigée pour récupérer l’accès à ses données.

Le site web ArsTechnica a décrit une possible technique d’attaque utilisée pour compromettre les serveurs de l’hôpital dont l’attaque a été la plus médiatisée. Cependant, l’organisation concernée a nié que cette technique ait eu un rôle à jouer dans l’attaque.

Ce qui est clair, c’est que ce type d’attaque informatique cause beaucoup plus de perturbations et a des conséquences potentielles beaucoup plus graves quand la cible est un hôpital. Dans certains cas qui ont été médiatisés, les organisations affectées ont été forcées de désactiver de grands pans de leurs systèmes informatiques pour prévenir la « contagion » vers d’autres serveurs et ordinateurs, laissant les cliniciens sans accès aux données cliniques contenues dans ces serveurs, et même sans les logiciels utilisés pour la pratique clinique. Il semble malgré tout que les données de patients n’auraient pas été compromises. Il reste que l’impact sur le fonctionnement d’un hôpital est majeur; les systèmes informatiques ne sont plus des « alternatives pratiques » au papier, ils sont maintenant au coeur du fonctionnement des hôpitaux. Ce n’est simplement plus possible de revenir à la dactylo le temps que l’on restaure le système.

L’épisode 58 du podcast Healthcare Tech Talk discute des enjeux entourant ces attaques, ainsi que des bonnes pratiques pour s’en protéger. Parmi les points discutés, on souligne certains qui doivent être mis en place au niveau du département d’informatique d’un établissement, comme par exemple les copies de sauvegarde, pour éviter que les données encryptées par un éventuel ransomware ne soient irrécupérables. Il va de soi que l’installation prompte des mises à jour de sécurité est importante.

Au niveau des utilisateurs, on discute de l’importance de l’éducation, notamment pour éviter la consultation de sites web douteux au travail, éviter de cliquer sur des liens suspects dans les courriels, ou l’ouverture de fichiers potentiellement compromis, par exemple transmis en pièces jointes de courriels.

Il ne s’agit pas seulement d’un enjeu pour les départements d’informatique, je crois que les départements dont le fonctionnement repose largement sur l’informatique (incluant les pharmacies !) devraient s’assurer que ces mesures sont mises en place pour protéger leurs données et pouvoir récupérer rapidement en cas de problème.

Crédit image: martialred / 123RF Stock Photo

En bref: présentation de Defcon 23 sur la sécurité informatique de l’équipement médical

Voici une vidéo d’une présentation à Defcon 23 sur la sécurité informatique d’appareils médicaux.

La présentation parle d’une part de techniques qui pourraient être utilisées pour accéder au réseau informatique d’un centre hospitalier. Les présentateurs discutent également des façons d’accéder aux ordinateurs intégrés dans des appareils médicaux, surtout des appareils de radiologie.

On ne parle pas spécifiquement d’appareils utilisés en pharmacie sauf de pompes à ACP, mais j’aimerais bien savoir si le même genre de vulnérabilité existe avec par exemple, les cabinets automatisés, les pompes à infusion ou les pompes de préparation stérile.

Sécurité informatique et équipement médical

On entend de plus en plus parler des objets connectés et de « l’internet des objets » (internet of things), tous ces appareils domestiques qui se connectent à un réseau et fournissent des données. Un exemple classique est le thermostat Nest. Avec la popularité grandissante de ces objets vient une préoccupation quant à la sécurité. Des hackers pourraient, par exemple, prendre le contrôle d’appareils de domotique à la sécurité informatique déficiente pour causer le chaos dans la maison d’une personne cible, ou bien s’emparer de ses données personnelles.

Dans le domaine de la santé, la même tendance existe avec les appareils médicaux, qui sont de plus en plus connectés. Le problème est que la sécurité informatique de ces appareils ne semble pas suivre la courbe de leur connectivité grandissante.

En mai dernier, je tweetais un article à propos d’une pompe à analgésie contrôlée par le patient dotée d’une connexion WiFi qui, selon un chercheur en sécurité informatique, était l’appareil avec la sécurité la plus déficiente qu’il n’avait jamais vu. Un autre article plus détaillé fait état du même problème. Ceci est quand même troublant quand on sait que le médicament infusé avec ce genre de pompe est pratiquement toujours un opiacé, un médicament à haut risque pouvant causer des effets indésirables graves, comme la dépression respiratoire, lorsque mal utilisé.

De plus en plus de spécialistes en sécurité informatique s’intéressent à ce problème, on en parle lors de conférences d’importance comme Defcon et DerbyCon (si la sécurité informatique vous intéresse, allez sur ces deux derniers liens, c’est complètement fou, on peut notamment trouver des appareils médicaux critiques qui roulent sur des systèmes d’exploitation vulnérables, exposés à l’internet !)

Il y a quelques jours, Bloomberg Businessweek a publié un long article sur les problèmes de sécurité des équipements médicaux. Cet article fascinant montre à quel point il peut être facile de prendre le contrôle d’appareils médicaux, à travers un réseau ou en personne, sans même être un spécialiste.

À la lecture de tous ces articles, voici quelques drapeaux rouges qui, selon moi, sont des indicateurs d’un possible risque de sécurité avec un appareil médical:

L’utilisation d’un système d’exploitation intégré ancien ou qui n’est plus supporté (ex: Windows XP, Windows XP Embedded, Windows CE…) – les correctifs de sécurité ne seront pas appliqués.
La présence d’une interface web requérant un navigateur dépassé comme Internet Explorer 6 ou 7 – l’interface web ne répond plus aux standards, le code est probablement ancien et vulnérable.
La possibilité pour le manufacturier de se connecter à distance avec des identifiants de connexion qui ne sont pas sous le contrôle de l’utilisateur – il existe un backdoor qui échappe à votre contrôle.
La présence d’un mot de passe système non modifiable qui permet un accès réseau ou en personne – ce mot de passe est probablement le même pour tous les appareils de ce type et peut probablement être trouvé sur internet !
Sur un appareil avec connexion sans fil, la possibilité de se connecter à une interface d’administration avec un mot de passe système non modifiable ou sans mot de passe – n’importe qui avec un accès au réseau peut accéder à l’appareil.

Considérant le constat fait par ces articles, il est probablement utopique de penser actuellement avoir accès à des appareils sans vulnérabilité, mais au moins si les gens qui implantent des technologies dans les hôpitaux (comme les pharmaciens) se mettent à poser des questions sur la sécurité informatique, les manufacturiers auront un incitatif de plus à prendre la chose au sérieux.

Il y a un peu plus d’un an, la FDA a émis un document d’orientation destiné à l’industrie afin d’améliorer la sécurité informatique des équipements médicaux. L’intention est louable, mais plusieurs spécialistes en sécurité n’ont pas été impressionnés.